Cai dat va cau hinh Windows Server 2012 R2 (54)

(Tiếp theo của "Cai dat va cau hinh Windows Server 2012 R2 (53)")

Hash rules

Hash là một chuỗi kí số có kích thước cố định, nó là định danh duy nhất của mỗi chương trình hay tập tin. Hash được sinh ra dựa trên thuật toán, thuật toán này đảm bảo giá trị hash sinh ra là duy nhất cho mỗi tập tin.

Khi bạn tạo một luật dựa trên hash của tập tin, hệ thống sẽ lưu giá trị hash của tập tin trong Software Restriction Policies. Khi người dùng muốn chạy tập tin, hệ thống sẽ so khớp giá trị hash của tập tin với giá trị hash của nó trong Software Restriction Policies, nếu hai giá trị này khớp nhau, luật sẽ được thực thi.

Do giá trị hash được tạo dựa trên tập tin, nên khi bạn di chuyển tập tin tới vị trí khác thì giá trị hash vẫn không bị thay đổi. Tuy nhiên, nếu chương trình phá hoại làm thay đổi nội dung của tập tin, dẫn tới giá trị hash bị thay đổi, khi đó, luật trong Software Restriction Policies sẽ không cho chương trình được thực thi.

Certificate rules

Certificate rule là luật dựa vào chứng chỉ số (digital certificate) của mỗi phần mềm. Chứng chỉ số giúp xác định tính hợp pháp của phần mềm. Bạn có thể sử dụng certificate rule để cho phép các phần mềm có nguồn gốc tin cậy được chạy và cấm các phần mềm còn lại. Bạn cũng có thể sử dụng certificate rule để cho phép chạy các phần mềm đang bị cấm bởi thiết lập Disallowed.

Path rules

Path rule là luật dựa trên vị trí của phần mềm trên hệ thống lưu trữ. Bạn có thể sử dụng path rule để cho chạy các phần mềm bị cấm bởi thiết lập Disallowed, hoặc cấm chạy các phần mềm do thiết lập Unrestricted.

Vị trí của phần mềm có thể xác định bằng vị trí của nó trong thiết bị lưu trữ, hoặc thông tin về vị trí được khai báo trong cấu trúc Registry.

Tạo luật (path rule) dựa trên vị trí của phần mềm có hạn chế là khi bạn thay đổi vị trí lưu trữ của phần mềm sẽ làm cho luật không còn tác dụng. Ngược lại, nếu dựa vào thông tin vị trí của phần mềm trong Registry sẽ luôn đảm bảo luật được thực thi, vì khi bạn thay đổi vị trí lưu trữ của phần mềm, giá trị trong Registry sẽ được cập nhật tự động.

Network zone rules

Network zone rule là luật áp dụng cho các phần mềm được cài đặt bằng Windows Installer từ máy cục bộ (local computer), local intranet, trusted sites, restricted sites hoặc Internet. Bạn có thể sử dụng luật kiểu này để chỉ cho phép cài đặt các phần mềm có nguồn gốc đáng tin cậy trên hệ thống mạng. Ví dụ, thiết lập Internet zone rule để không cho phép Windows Installer tải về và cài đặt các phần mềm từ Internet và các nơi khác trên mạng.

Sử dụng nhiều luật

Trong một Software Restriction Policies, bạn có thể kết hợp nhiều loại luật trong Additional Rules và nhiều chiến lược bảo mật trong Security Levels. Ví dụ, bạn có thể sử dụng một path rule để cấm chạy phần mềm trong thư mục \\Server1\Accounting, một path rule để cho phép chạy phần mềm trong thư mục \\Server 1\Application. Bạn cũng có thể kết hợp certificate rule và hash rule.

Sau đây là thứ tự ưu tiên của các luật, luật có số thứ tự nhỏ hơn sẽ có độ ưu tiên cao hơn:

1.      Hash rules

2.      Certificate rules

3.      Network zone rules

4.      Path rules

Khi có xung đột giữa các luật, luật có độ ưu tiên cao hơn sẽ được áp dụng. Ví dụ, nếu có xung đột giữa hash rules và path rules, thì hash rules sẽ được áp dụng.

Khi có sự xung đột giữa hai luật cùng loại trên một phần mềm, thì luật nào có sự hạn chế phần mềm nhiều hơn sẽ được áp dụng. Ví dụ, một luật là Unrestricted và một luật là Disallowed thì luật sẽ được áp dụng là Disallowed.

 

Cấu hình cho Software Restriction Policies

Bạn có thể thiết lập các thuộc tính cho mục Software Restriction Policies, các thuộc tính này sẽ tác động trên toàn bộ các chính sách trong Software Restriction Policies.

Có ba thuộc tính bạn có thể thiết lập cho Software Restriction Policies là: Enforcement, Designated File Types, và Trusted Publishers.

Thuộc tính Enforcement

Thuộc tính này cho phép bạn lựa chọn: sẽ áp dụng chính sách cho tất cả các tập tin của ứng dụng bao gồm cả các tập tin DLL (dynamic link library), hay không áp dụng trên các tập tin DLL. Ở chế độ mặc định, chính sách sẽ không áp dụng trên các tập tin DLL. Xem hình minh họa.

Một ví dụ về ứng dụng Enforcement trong thực tế, Default Security Level được thiết lập là Disallowed và Enforcement được thiết lập là All Software, khi đó bạn sẽ phải tạo các chính sách để kiểm soát các tập tin DLL, ngược lại nếu trong Enforcement bạn loại ra các tập tin DLL, thì bạn sẽ không phải quan tâm tới việc kiểm soát các DLL.

Thuộc tính Designated File Types

Thuộc tính Designated File Types được sử dụng để xác định các loại tập tin sẽ bị tác động bởi các luật. Các loại tập tin được chọn ở đây sẽ áp dụng cho tất cả các luật trong Software Restriction Policies. Xem hình minh họa.

Thuộc tính Trusted Publishers

Thuộc tính Trusted Publishers cho phép người quản trị thiết lập chính sách liên quan đến certificate rule cho hệ thống. Xem hình minh họa.

Trong cửa sổ Trusted Publishers Properties, phần Trusted publisher management cho phép xác định ai được phép quản lý nguồn cấp certificate. Mặc định, administrator máy cục bộ có quyền xác định nguồn cấp certificate cho máy cục bộ, enterprise administrators có quyền xác định nguồn cấp certificate cho một OU. Đối với các hệ thống có yêu cầu bảo mật cao, người dùng không được phép lựa chọn nguồn cấp certificate.

 

Sử dụng AppLocker

Software Restriction Policies là một công cụ mạnh, tuy nhiên, nó đòi hỏi người quản trị phải thực hiện nhiều việc hơn. Đặc biệt, nếu bạn cấu hình theo kiểu disallowed, khi đó ngoài việc tạo luật để cho các phần mềm ứng dụng được chạy, bạn còn phải tạo luật cho rất nhiều các chương trình của chính Windows Server 2012 R2.

Applocker còn có tên gọi khác là Application Control Policies. Applocker là một chức năng của Windows, nó kiểm soát ứng dụng thông qua các luật, tuy nhiên việc tạo luật rất đơn giản.

Các luật của Applocker có thể áp dụng cho từng user hoặc từng group cụ thể. Bạn cũng có thể tạo luật để áp dụng cho tất cả các phiên bản trong tương lai của một ứng dụng.

Hạn chế của Applocker là các chính sách của nó chỉ áp dụng được trên các máy tính cài Windows 7 và Windows Server 2008 R2 trở lên.

Các loại luật

Các thiết lập của AppLocker được lưu trong các GPO, cụ thể tại Computer Configuration\Windows Settings\Security Settings\Application Control Policies\AppLocker. Xem hình minh họa.

AppLocker chứa bốn nút, trong đó chứa các luật sau:

­ 
- Executable Rules: chứa các luật áp dụng cho các tập tin có phần mở rộng là .exe và .com

­ 
- Windows Installer Rules: chứa các luật áp dụng cho các gói cài đặt bằng Windows Installer, các tập tin có phần mở rộng là .msi và .msp

­

- Script Rules: chứa các luật áp dụng cho các tập tin dạng script, với phần mở rộng là .ps1, .bat, .cmd, .vbs, và .js

­

- Package App Rules: chứa các luật áp dụng cho các ứng dụng mua từ Windows Stores

Khi tạo luật trong mỗi nút, việc cho phép chạy hoặc cấm chạy một tài nguyên có thể dựa vào một trong các cách sau:

­

- Publisher: dựa vào chứng chỉ số của phần mềm, có thể tạo luật áp dụng cho mọi phiên bản của phần mềm.

­

- Path: dựa vào tên của tập tin hoặc thư mục, hạn chế của cách này là mọi tập tin đều có thể bị luật này tác động, nếu tên hoặc vị trí của nó khớp với luật.

­

- File Hash: dựa vào giá trị hash của tập tin

Thiết lập default rules

Khi được bật, AppLocker sẽ khóa tất cả các tập tin thực thi, các installer package, các script (ngoại trừ các đối tượng đã được áp dụng luật Allow). Vì vậy, bạn cần phải tạo ra luật để cho phép chạy các tập tin cần thiết cho Windows và các ứng dụng hệ thống. Để thực hiện, bấm chuột phải vào từng nút trong AppLocker, chọn Create Default Rules.

Default rules của mỗi nút cũng giống như các luật thông thường, do vậy, bạn có thể nhân bản, thay đổi hoặc xóa nếu cần. Bạn cũng có thể tự tạo các luật trong Default rules, miễn là đảm bảo Windows hoạt động bình thường mà không cần can thiệp gì thêm.

Để sử dụng AppLocker, phải bật dịch vụ Application Identify, mặc định, dịch vụ này thuộc loại khởi chạy bằng tay, do vậy, bạn phải khởi chạy nó trong cửa sổ Services trước khi Windows có thể áp dụng các chính sách của AppLocker.

Tạo luật tự động

Ưu điểm lớn nhất của AppLocker là khả năng tạo luật tự động. Để thực hiện, bấm chuột phải vào nút cần tạo luật, chọn Automatically Generate Rules để mở của sổ Automatically Generate Rules Wizard. Sau khi chọn thư mục, user và group chịu sự tác động của luật, trang Rule Preferences xuất hiện, trang này cho phép chọn loại luật sẽ được tạo. Sau đó xuất hiện trang Review Rules, tóm tắt nội dung của luật và thêm luật vào nút.

Tạo luật thủ công

Ngoài việc tạo luật tự động, bạn cũng có thể tạo luật thủ công. Để thực hiện, bấm chuột phải vào nút cần tạo luật, chọn Create New Rule. Wizard yêu cầu bạn cung cấp các thông tin sau:

­

- Action: xác định hành động của luật là allow (cho chạy) hay deny (cấm chạy). Trong AppLocker, luật deny có độ ưu tiên cao hơn luật allow.

­

- User Or Group: lựa chọn đối tượng chịu sự tác động của luật

­

- Conditions: xác định loại luật sẽ được tạo, luật sẽ chạy dựa trên chữ kí số, tên của tập tin, hay giá trị hash.

­

- Exceptions: xác định các ngoại lệ

---------------------------

Tham khảo (Lược dịch): Craig Zacker, Exam Ref 70-410 - Installing and Configuring Windows Server 2012 R2, Microsoft Press, 2014

--------------------------- 
Cập nhật 2015/9/10
---------------------------
Đọc thêm
Cai dat va cau hinh Windows Server 2012 R2 (55)

Cai dat va cau hinh Windows Server 2012 R2 (53)

(Tiếp theo của "Cai dat va cau hinh Windows Server 2012 R2 (52)")

Chế độ secure desktop

Mỗi khi Windows Server 2012 R2 bật lên cửa sổ yêu cầu chứng thực, hoặc xác minh như trong phần UAC, nghĩa là nó đang sử dụng chế độ secure desktop.

Secure desktop là một trạng thái hoạt động của hệ điều hành Windows. Ở trạng thái này, hệ thống sẽ vô hiệu tất cả các cửa sổ và ứng dụng khác, chỉ để lại duy nhất cửa sổ chứng thực hoặc xác minh. Mục đích của secure desktop là để ngăn chặn các chương trình độc hại giả mạo quá trình chứng thực hoặc xác minh.

 

Cấu hình UAC

Mặc định, Windows Server 2012 R2 luôn bật chức năng UAC. Để thay đổi các thiết lập của UAC hoặc vô hiệu UAC, bạn mở Control Panel, trong ô Search Control Panel nhập Action Center, chọn mục Action Center, trong cửa sổ Action Center chọn mục Change User Account Control settings để mở cửa sổ User Account Control settings. Xem hình minh họa.

Có bốn mức độ bạn có thể thiết lập cho UAC gồm:

­

- Always Notify Me: mức độ cảnh báo cao nhất.

­

- Notify Me Only When Apps Try To Make Changes To My Computer: mức độ cảnh báo thấp hơn, không cảnh báo khi thay đổi các thiết lập liên quan đến hệ điều hành.

­

- Notify Me Only When Apps Try To Make Changes To My Computer (Do Not Dim My Desktop): mức độ cảnh báo thấp hơn, không cảnh báo khi thay đổi các thiết lập liên quan đến hệ điều hành, khi cảnh báo không sử dụng chế độ secure desktop.

­

- Never Notify Me: không cảnh báo, vô hiệu UAC.

Bạn có thể cấu hình thêm các thuộc tính của UAC trong mục Security Options của Nhóm chính sách (Group Policy) và trong chính sách bảo mật cục bộ (Local Security Policy).

 

Tóm tắt nội dung

­ 
- Hầu hết các thiết lập liên quan đến bảo mật hệ thống đều nằm trong nút Computer Configuration\Windows Settings của GPO.

­
- Chính sách cục bộ là công cụ để thiết lập các quyền hạn của người dùng trên máy cục bộ, và thiết lập chế độ theo dõi hoạt động của người dùng.

­

- Người quản trị có thể theo dõi các hành động của người dùng khi thành công (successful), khi thất bại (failed), hoặc cả hai.

­

- Người quản trị có thể sử dụng các thiết lập mẫu (security template) để: theo dõi người dùng, thiết lập quyền hạn người dùng, cấu hình bảo mật, và các thiết lập khác.

­

- Khi một người đang sử dụng tài khoản bình thường muốn thực hiện một chức năng có yêu cầu quyền cao hơn, họ sẽ phải chứng thực lại bằng một tài khoản có chức năng quản trị.

­

- Mặc định, Windows Server 2012 R2 luôn bật chức năng UAC. Bạn có thể thay đổi các thiết lập của UAC hoặc vô hiệu UAC.

 

Câu hỏi ôn tập

1.      Để triển khai một mẫu bảo mật cho tất cả các máy tính trong AD DS, bạn sử dụng các công cụ nào sau đây (chọn nhiều đáp án)?

A.    Active Directory Users and Computers

B.     Security Templates snap-in

C.     Group Policy Object Editor

D.    Group Policy Management

2.     Bạn có thể thêm thành viên cho nhóm nào sau đây bằng Control Panel (chọn nhiều đáp án)?

A.    Users

B.     Power Users

C.     Administrators

D.    Non-Administrators

3.      Công cụ nào sau đây được sử dụng để thực hiện các cấu hình cho thiết lập mẫu?

A.    Active Directory Users and Computers

B.     Security Templates snap-in

C.     Group Policy Object Editor

D.    Group Policy Management

4.      Trong Windows Server 2012 R2, các nhóm cục bộ của hệ thống (buitl-in) sẽ nhận các thiết lập đặc biệt thông qua cơ chế nào?

A.    Security options

B.     Các luật của Windows Firewall

C.     Quyền NTFS

D.    Quyền hạn người dùng (user right)

5.      Trong Windows Server 2012 R2, sau khi cấu hình và triển khai Audit Directory Service Access, bạn phải làm gì tiếp theo thì hệ thống mới thực hiện theo dõi việc truy cập Active Directory?

A.    Sử dụng Active Directory Users and Computers để lựa chọn các đối tượng trong Active Directory sẽ bị theo dõi

B.     Phải đợi cho tới khi chính sách theo dõi được gửi tới tất cả các domain controller trong mạng

C.     Phải mở Audit Directory Service Access Properties và chọn tất cả các đối tượng cần theo dõi trong Active Directory

D.    Thêm dấu gạch thấp ( _ ) vào tên của các đối tượng Active Directory mà bạn muốn theo dõi

 

6.3 Chính sách hạn chế phần mềm ứng dụng

Để thiết lập các chính sách nhằm hạn chế việc sử dụng phần mềm ứng dụng, bạn thực hiện trong mục Software Restriction Policies của GPO.

Các nội dung sẽ đề cập trong phần này:

­

- Cấu hình Software Restriction Policies

­

- Cấu hình các luật

­

- Cấu hình AppLocker

 

Cấu hình Software Restriction Policies

Trong GPO, mục Software Restriction Policies nằm tại Windows Settings\Security Settings. Nó có trong cả hai nút User Configuration và Computer Configuration. Mặc định, Software Restriction Policies ở trạng thái rỗng. Khi tạo chính sách, trong Software Restriction Policies sẽ xuất hiện hai mục con là Security Levels và Additional Rules.

Mục Security Levels dùng để định nghĩa các quy định chung. Additional Rules dùng để định nghĩa các quy định cho từng phần mềm.

Hạn chế bắt buộc

Mặc định, khi chưa thực hiện cấu hình Software Restriction Policies, quyền thực thi các phần mềm được quy định bởi quyền NTFS.

Khi đã thực hiện cấu hình Software Restriction Policies, việc quản lý quyền thực thi phần mềm sẽ dựa trên ba chiến lược sau:

­ 
- Unrestricted: chính sách này cho phép mọi phần mềm đều được chạy, ngoại trừ các phần mềm đã bị cấm một cách tường minh.

­

- Disallowed: chính sách này cấm mọi phần mềm thực thi, ngoại trừ các phần mềm đã được cho phép một cách tường minh.

­

- Basic User: các phần mềm cần chạy bằng quyền quản trị sẽ không được thực thi, tuy nhiên các phần mềm chạy bằng quyền người dùng vẫn được thực thi.

Bạn cần căn cứ vào yêu cầu cụ thể của công ty/tổ chức để lựa chọn chiến lược cho phù hợp. Thông thường, mức bảo mật mặc định (Default Security Level) được thiết lập trong Security Level là Unrestricted.

Ví dụ, trong môi trường đòi hỏi bảo mật cao, bạn chỉ muốn chạy một số phần mềm cụ thể, bạn sẽ thiết lập mức bảo mật mặc định là Disallowed. Ngược lại, trong môi trường không cần bảo mật cao, bạn có thể thiết lập mức bảo mật mặc định là Unrestricted. Sau đó, bạn sẽ tạo ra các luật để cấm hoặc cho phép các phần mềm cụ thể được chạy.

Sau đây là các bước để thiết lập mức bảo mật mặc định là Disallowed.

1.      Mở Server Manager, chọn trình đơn Tools, chọn Group Policy Management để mở cửa sổ Group Policy Management.

2.      Duyệt theo đường dẫn Forest, Domains, chọn domain mà bạn quan tâm, chọn mục Group Policy Objects, các GPO hiện có của domain sẽ xuất hiện ở khung bên phải.

3.      Bấm chuột phải vào GPO bạn quan tâm, chọn Edit để mở cửa sổ Group Policy Management Editor.

4.      Trong nút Computer Configuration hoặc User Configuration chọn mục Software Restriction Policies.

5.      Chuột phải vào mục Software Restriction Policies, chọn New Software Restriction Policies để tạo chính sách.

6.      Mở nút Security Levels ở khung bên phải. Để ý sẽ thấy mức bảo mật mặc định (Default Security Level) được thiết lập là Unrestricted.

7.      Để chuyển mức bảo mật mặc định là Disallowed, bạn kích đôi chuột vào mục Disallowed, bấm vào nút Set as Default. Xuất hiện cửa sổ cảnh báo của Software Restriction Policies.

8.      Bấm Yes, để chấp nhận. Đóng cửa sổ Group Policy Management Editor và Group Policy Management.

 

Cấu hình các luật hạn chế phần mềm

Hiệu lực của chính sách hạn chế phần mềm là sự kết hợp ở cả hai nơi: Security Levels và Additional Rules. Trong đó, các chính sách trong Additional Rules được xét trước, sau đó đến các chính sách trong Security Levels. Các thiết lập trong Additional Rules có độ ưu tiên cao hơn trong Security Levels.

Để tạo luật mới trong Additional Rules, bạn bấm chuột phải vào nút Additional Rules, có bốn loại luật bạn có thể chọn:

­
- Hash rules

- Certificate rules 

- Path rules

- Network zone rules

Khi chọn một trong bốn loại luật trên, hệ thống sẽ xuất hiện cửa sổ cho phép bạn thiết lập các thông số của luật. Như hình ví dụ sau:

---------------------------

Tham khảo (Lược dịch): Craig Zacker, Exam Ref 70-410 - Installing and Configuring Windows Server 2012 R2, Microsoft Press, 2014

--------------------------- 
Cập nhật 2015/6/9
---------------------------
Đọc thêm
Cai dat va cau hinh Windows Server 2012 R2 (54)